هشدار مایکروسافت درباره
براساس گفتههای تیم امنیت اطلاعات شرکت مایکروسافت، یک کمپین فیشینگ با موضوع ویروس کرونا (COVID-19) از طریق فایلهای مخرب اکسل که پیوست ایمیلها هستند، ابزار مدیریت کنترل از راه دور NetSupport را در دستگاههای قربانیان قرار میدهد.
این حمله با یک ایمیل که ظاهرا از طرف مرکز جانز هاپکینز ارسال شده و در آن تعداد مرگ و میرها بر اثر ویروس کرونا آورده شده است آغاز میشود. در این ایمیل یک فایل اکسل وجود دارد که هنگام باز شدن جدولی از تعداد مرگ و میرها در ایالات متحده را بر اساس گزارش نیورک تایمز نشان میدهد.
از آنجایی که این فایل اکسل حاوی ماکروهای مخرب است، از کاربر درخواست میشود برای مشاهده «Enable Content» را انتخاب کند. سپس ماکروهای مخرب برای دانلود و نصب NetSupport Manager از یک سایت از راه دور در دستگاه قربانی اجرا میشوند.
NetSupport Manager یک ابزار قانونی مدیریت از راه دور است که معمولا توسط هکرها به عنوان یک تروجان دسترسی از راه دور مورد سوءاستفاده قرار میگیرد.
این ابزار پس از نصب شدن به مهاجم کنترل کامل روی دستگاه آلوده و قابلیت اجرای فرمان از راه دور روی آن را میدهد.
در این حمله، ابزار NetSupport Manager با نام dwm.exe در یکی از پوشههای تصادفی اطلاعات کاربر در مسیر %AppData% ذخیره و اجرا میشود.
بعد از مدتی مهاجم میتواند از ابزار دسترسی از راه دور NetSupport Manager برای در معرض خطر قرار دادن کامپیوتر قربانی و نصب اسکریپتها و بدافزارهای دیگر استفاده کند.
کاربرانی که در معرض این حمله قرار گرفتهاند، باید با این فرض عمل کنند که اطلاعات آنها در معرض خطر قرار گرفته و مهاجم اقدام به سرقت رمزعبورهای آنها کرده است. همچنین این احتمال وجود دارد که مهاجم از دستگاه آلوده برای گسترش در سراسر شبکه استفاده کرده باشد.
کاربران پس از پاکسازی دستگاه آلوده، باید رمزعبورها را تعویض کرده و کل کامپیوترهای شبکه را به منظور شناسایی آلودگی در آنها بررسی کنند.
توضیحات بیشتر:
- Microsoft warns of 'massive' phishing attack pushing legit RAT